Aracılığıyla paylaş

Microsoft Defender XDR'de tehdit analizi

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Tehdit analizi, uzman Microsoft güvenlik araştırmacılarının ürün içi tehdit bilgileri çözümümüzdür. Aşağıdakiler gibi yeni tehditlerle karşı karşıyayken güvenlik ekiplerinin mümkün olduğunca verimli olması için tasarlanmıştır:

  • Etkin tehdit aktörleri ve kampanyaları
  • Popüler ve yeni saldırı teknikleri
  • Kritik güvenlik açıkları
  • Yaygın saldırı yüzeyleri
  • Yaygın kötü amaçlı yazılım

Tehdit analizine Microsoft Defender portalın gezinti çubuğunun sol üst kısmından veya kuruluşunuza yönelik en önemli tehditleri hem bilinen etki açısından hem de açığa çıkarmanız açısından gösteren özel bir pano kartından erişebilirsiniz.

Tehdit analizi giriş sayfasının ekran görüntüsü

Etkin veya devam eden kampanyalar hakkında görünürlük elde etmek ve tehdit analizi aracılığıyla ne yapacağınızı bilmek, güvenlik operasyonları ekibinizin bilinçli kararlar almasına yardımcı olabilir.

Daha karmaşık saldırganlar ve yaygın olarak ortaya çıkan yeni tehditler sayesinde, hızlı bir şekilde şunları yapabilmek çok önemlidir:

  • Yeni ortaya çıkan tehditleri belirleme ve buna tepki verme
  • Şu anda saldırı altında olup olmadığınız hakkında bilgi edinin
  • Tehditlerin varlıklarınız üzerindeki etkisini değerlendirme
  • Tehditlere karşı dayanıklılığınızı veya tehditlere maruz kalma durumunuzu gözden geçirin
  • Tehditleri durdurmak veya içermek için gerçekleştirebileceğiniz risk azaltma, kurtarma veya önleme eylemlerini belirleme

Her rapor, izlenen bir tehdidin analizini ve bu tehditlere karşı savunma konusunda kapsamlı rehberlik sağlar. Ayrıca ağınızdaki verileri de içerir ve tehdidin etkin olup olmadığını ve geçerli korumalarınız olup olmadığını belirtir.

Gerekli roller ve izinler

Defender portalında Tehdit analizine erişmek için aşağıdaki roller ve izinler gereklidir:

  • Güvenlik verileriyle ilgili temel bilgiler (okuma)—tehdit analizi raporunu, ilgili olayları ve uyarıları ve etkilenen varlıkları görüntülemek için
  • İlgili açığa çıkarma verilerini ve önerilen eylemleri görmek için güvenlik açığı yönetimi (okuma) ve Güvenli Puan (okuma)

Varsayılan olarak, Defender portalında kullanılabilen hizmetlere erişim Microsoft Entra genel roller kullanılarak toplu olarak yönetilir. Belirli ürün verilerine erişim üzerinde daha fazla esnekliğe ve denetime ihtiyacınız varsa ve henüz merkezi izin yönetimi için Microsoft Defender XDR Birleşik rol tabanlı erişim denetimini (RBAC) kullanmıyorsanız, her hizmet için özel roller oluşturmanızı öneririz. Özel roller oluşturma hakkında daha fazla bilgi edinin

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

Desteklenen ürünlerden yalnızca birine sahip olsanız bile tüm tehdit analizi raporlarının görünürlüğüne sahip olursunuz. Ancak, bu ürünün belirli olaylarını, varlıklarını, açığa çıkışını ve tehditle ilişkili önerilen eylemleri görmek için her ürüne ve role sahip olmanız gerekir.

Tehdit analizi panosunu görüntüleme

Tehdit analizi panosu (security.microsoft.com/threatanalytics3) kuruluşunuzla en ilgili raporları vurgular. Aşağıdaki bölümlerde tehditleri özetler:

  • En son tehditler— en son yayımlanan veya güncelleştirilen tehdit raporlarının yanı sıra etkin ve çözümlenmiş uyarı sayısını listeler.
  • Yüksek etkili tehditler— kuruluşunuz üzerinde en yüksek etkiye sahip olan tehditleri listeler. Bu bölümde, en fazla etkin ve çözümlenmiş uyarı sayısına sahip tehditler listelenir.
  • En yüksek maruz kalma tehditleri: Kuruluşunuzun en yüksek maruz kalma süresine sahip olduğu tehditler listelenir. Bir tehdide maruz kalma düzeyiniz iki bilgi parçası kullanılarak hesaplanır: tehditle ilişkili güvenlik açıklarının ne kadar ciddi olduğu ve kuruluşunuzdaki kaç cihazın bu güvenlik açıklarından yararlanabileceği.

Tehdit analizi panosunun ekran görüntüsü,

Bu tehdidin raporunu görüntülemek için panodan bir tehdit seçin. Ayrıca, okumak istediğiniz tehdit analizi raporuyla ilgili bir anahtar sözcükte anahtar için Arama alanını seçebilirsiniz.

Raporları kategoriye göre görüntüleme

Tehdit raporu listesini filtreleyebilir ve en ilgili raporları belirli bir tehdit türüne veya rapor türüne göre görüntüleyebilirsiniz.

  • Tehdit etiketleri; belirli bir tehdit kategorisine göre en ilgili raporları görüntülemenize yardımcı olabilir. Örneğin Fidye yazılımı etiketi fidye yazılımıyla ilgili tüm raporları içerir.
  • Rapor türleri: Belirli bir rapor türüne göre en uygun raporları görüntülemenize yardımcı olabilir. Örneğin, Araçlar & teknikleri etiketi, araçları ve teknikleri kapsayan tüm raporları içerir.

Farklı etiketler, tehdit raporu listesini verimli bir şekilde gözden geçirmenize ve görünümü belirli bir tehdit etiketine veya rapor türüne göre filtrelemenize yardımcı olan eşdeğer filtrelere sahiptir. Örneğin fidye yazılımı kategorisiyle ilgili tüm tehdit raporlarını veya güvenlik açıkları içeren tehdit raporlarını görüntülemek için.

Microsoft Tehdit Bilgileri ekibi, her tehdit raporuna tehdit etiketleri ekler. Şu anda aşağıdaki tehdit etiketleri kullanılabilir:

  • Fidye Yazılımı
  • Haraç
  • Kimlik Avı
  • Eller klavyede
  • Etkinlik grubu
  • Güvenlik Açığı
  • Saldırı kampanyası
  • Araç veya teknik

Tehdit etiketleri, tehdit analizi sayfasının en üstünde gösterilir. Her etiketin altında kullanılabilir rapor sayısı için sayaçlar vardır.

Tehdit analizi rapor etiketlerinin ekran görüntüsü.

Listede istediğiniz rapor türlerini ayarlamak için Filtreler'i seçin, listeden seçim yapın ve Uygula'yı seçin.

Filtreler listesinin ekran görüntüsü.

Birden fazla filtre ayarlarsanız tehdit analizi raporları listesi, tehdit etiketleri sütunu seçilerek tehdit etiketine göre de sıralanabilir:

Tehdit etiketleri sütununun ekran görüntüsü.

Tehdit analizi raporunu görüntüleme

Her tehdit analizi raporu çeşitli bölümlerde bilgi sağlar:

Genel bakış: Tehdidi hızla anlayın, etkisini değerlendirin ve savunmaları gözden geçirin

Genel Bakış bölümünde ayrıntılı analist raporunun önizlemesi sağlanır. Ayrıca, tehdidin kuruluşunuz üzerindeki etkisini ve yanlış yapılandırılmış ve eşleşmeyen cihazlar aracılığıyla açığa çıkarmanızı vurgulayan grafikler de sağlar.

Tehdit analizi raporunun genel bakış bölümünün ekran görüntüsü.

Kuruluşunuz üzerindeki etkiyi değerlendirme

Her rapor, bir tehdidin kurumsal etkisi hakkında bilgi sağlamak için tasarlanmış grafikler içerir:

  • İlgili olaylar— aşağıdaki verilerle izlenen tehdidin kuruluşunuz üzerindeki etkisine genel bir bakış sağlar:
    • Etkin uyarı sayısı ve ilişkili oldukları etkin olay sayısı
    • Etkin olayların önem derecesi
  • Zaman içindeki uyarılar— zaman içinde ilgili Etkin ve Çözümlenmiş uyarı sayısını gösterir. Çözümlenen uyarı sayısı, kuruluşunuzun bir tehditle ilişkili uyarılara ne kadar hızlı yanıt verdiğini gösterir. İdeal olan grafikte birkaç gün içinde çözümlenen uyarıların gösterilmesi gerekir.
  • Etkilenen varlıklar— şu anda izlenen tehditle ilişkili en az bir etkin uyarıya sahip olan ayrı varlıkların sayısını gösterir. Tehdit e-postaları alan posta kutuları için uyarılar tetiklenir. Tehdit e-postalarının teslim edilmesine neden olan geçersiz kılmalar için hem kuruluş hem de kullanıcı düzeyinde ilkeleri gözden geçirin.

Güvenlik dayanıklılığını ve duruşu gözden geçirme

Her rapor, kuruluşunuzun belirli bir tehdide karşı ne kadar dayanıklı olduğuna genel bakış sağlayan grafikler içerir:

  • Önerilen eylemlerEylem durumu yüzdesini veya güvenlik duruşunuzu geliştirmek için başardığınız nokta sayısını gösterir. Tehdidi ele almak için önerilen eylemleri gerçekleştirin. Puan dökümünü Kategoriye veya Duruma göre görüntüleyebilirsiniz.
  • Uç noktalara maruz kalma— güvenlik açığı bulunan cihazların sayısını gösterir. Tehdit tarafından yararlanılan güvenlik açıklarını gidermek için güvenlik güncelleştirmeleri veya düzeltme ekleri uygulayın.

Analist raporu: Microsoft güvenlik araştırmacılarından uzman içgörüleri alma

Analist raporu bölümünde, ayrıntılı uzman yazma işlemini okuyun. Çoğu rapor, MITRE ATT&CK çerçevesine eşlenen taktikler ve teknikler, kapsamlı öneri listeleri ve güçlü tehdit avcılığı yönergeleri dahil olmak üzere saldırı zincirlerinin ayrıntılı açıklamalarını sağlar.

Analist raporu hakkında daha fazla bilgi edinin

İlgili olaylar sekmesi izlenen tehditle ilgili tüm olayların listesini sağlar. Olaylar atayabilir veya her olaya bağlı uyarıları yönetebilirsiniz.

Tehdit analizi raporunun ilgili olaylar bölümünün ekran görüntüsü.

Not

Tehditle ilişkili olaylar ve uyarılar Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Defender for Cloud Apps ve Bulut için Defender'dan kaynaklanmıştır.

Etkilenen varlıklar: Etkilenen cihazların, kullanıcıların, posta kutularının, uygulamaların ve bulut kaynaklarının listesini alma

Etkilenen varlıklar sekmesi, zaman içinde tehdit tarafından etkilenen varlıkları gösterir. Şu görüntüler:

  • Etkin uyarılardan etkilenen varlıklar
  • Çözümlenen uyarılardan etkilenen varlıklar
  • Tüm varlıklar veya etkin ve çözümlenmiş uyarılardan etkilenen toplam varlık sayısı

Varlıklar aşağıdaki kategorilere ayrılır:

  • Aygıtları
  • Kullanıcılar
  • Posta kutu -ları
  • Apps
  • Bulut kaynakları

Tehdit analizi raporunun etkilenen varlıklar bölümünün ekran görüntüsü.

Uç noktalara maruz kalma: Güvenlik güncelleştirmelerinin dağıtım durumunu öğrenme

Uç noktaların açığa çıkarılması bölümü, kuruluşunuzun tehditle etkilenme düzeyini sağlar. Bu düzey, söz konusu tehdit tarafından yararlanılan güvenlik açıklarının ve yanlış yapılandırmaların önem derecesine ve bu zayıflıklara sahip cihazların sayısına göre hesaplanır.

Bu bölüm, eklenen cihazlarda bulunan güvenlik açıkları için desteklenen yazılım güvenlik güncelleştirmelerinin dağıtım durumunu da sağlar. Rapordaki çeşitli bağlantılardan ayrıntılı detaya gitme bilgileri de sağlayan Microsoft Defender Güvenlik Açığı Yönetimi verilerini birleştirir.

Tehdit analizi raporunun Uç noktaların açığa çıkarma bölümü

Önerilen eylemler sekmesinde, tehditlere karşı kurumsal dayanıklılığınızı artırmanıza yardımcı olabilecek belirli eyleme dönüştürülebilir öneriler listesini gözden geçirin. İzlenen azaltmalar listesi, aşağıdakiler gibi desteklenen güvenlik yapılandırmalarını içerir:

  • Bulut tabanlı koruma
  • İstenmeyebilecek uygulama (PUA) koruması
  • Gerçek zamanlı koruma

Güvenlik açığı ayrıntılarını gösteren bir tehdit analizi raporunun Önerilen eylemler bölümü

Rapor güncelleştirmeleri için e-posta bildirimlerini ayarlama

Tehdit analizi raporlarında size güncelleştirmeler gönderecek e-posta bildirimleri ayarlayabilirsiniz. E-posta bildirimleri oluşturmak için Microsoft Defender XDR'da Tehdit analizi güncelleştirmeleri için e-posta bildirimleri alma başlığı altında yer alan adımları izleyin.

Diğer rapor ayrıntıları ve sınırlamaları

Tehdit analizi verilerine bakarken aşağıdaki faktörleri unutmayın:

  • Önerilen eylemler sekmesindeki denetim listesi yalnızca Microsoft Güvenli Puanı'nda izlenen önerileri görüntüler. Güvenli Puan'da izlenmemiş daha fazla önerilen eylem için Analist raporu sekmesine bakın.
  • Önerilen eylemler tam dayanıklılığı garanti etmez ve yalnızca iyileştirmek için gereken en iyi eylemleri yansıtır.
  • Virüsten korumayla ilgili istatistikler Microsoft Defender Virüsten Koruma ayarlarını temel alır.
  • Ana Tehdit analizi sayfasındaki Yanlış yapılandırılmış cihazlar sütunu, tehdidin ilgili önerilen eylemleri açık olmadığında bir tehditten etkilenen cihaz sayısını gösterir. Ancak, Microsoft araştırmacıları önerilen eylemleri bağlamazsa, Yanlış yapılandırılmış cihazlar sütunu Kullanılamıyor durumunu gösterir.
  • Ana Tehdit analizi sayfasındaki Güvenlik açığı bulunan cihazlar sütunu, yazılım çalıştıran ve tehditle bağlantılı güvenlik açıklarından herhangi birine karşı savunmasız olan cihazların sayısını gösterir. Ancak, Microsoft araştırmacıları herhangi bir güvenlik açığını bağlamazsa, Güvenlik açığı olan cihazlar sütunu Kullanılamıyor durumunu gösterir.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.